נחשפה נוזקה מתקדמת שנוצרה בעיקרה בעזרת AI

נחשפה VoidLink – אחת הדוגמאות הראשונות המוכרות לנוזקה מתקדמת שנוצרה בעיקרה באמצעות בינה מלאכותית. את הנוזקה חשפו חוקרי צ'ק פוינט (Check Point Research).

לפי החוקרים, בניגוד לנוזקות קודמות שנעזרו ב-AI – אשר לרוב היו באיכות נמוכה, או מבוססות על קוד קיים – VoidLink מציגה רמת תחכום גבוהה וקצב התפתחות מהיר במיוחד.

"ה-AI האיצה באופן דרמטי את תהליך הפיתוח, ואיפשרה למה שנראה כשחקן יחיד – לתכנן, לבנות ולשפר מסגרת נוזקה מורכבת בתוך ימים – ולא חודשים", כתבו חוקרי ענקית הגנת הסייבר הישראלית.

לפי החוקרים, "הנוזקה מתקדמת ומודולרית, עם יכולת התפתחות מהירה. היא מפותחת ומעודכנת בקצב חריג. הנוזקה בנויה ברמת תכנון ואדריכלות, שמאפיינת בדרך כלל צוותים ממומנים היטב".

#Voidlink, A new era of malware has arrived! We discovered that the framework was built nearly end-to-end using agentic AI. It stands as an alarming example of what experienced actors are capable of using artificial intelligence.https://t.co/5RRTResk8B

— Check Point Research (@_CPResearch_) January 20, 2026

"מה שבעבר דרש צוותים מרובים ועבודה של חודשים – התקצר לימים"

"במבט ראשון, VoidLink נראתה כתוצר של ארגון גדול או פעילות סייבר מסחרית", כתבו חוקרי צ'ק פוינט. "אולם חקירה מעמיקה יותר חשפה ממצא חריג אף יותר: סביר שהמסגרת נוצרה על ידי אדם אחד בלבד, שעשה שימוש ב-AI לא רק לכתיבת קוד, אלא גם לתכנון, לארגון ולביצוע של הפרויקט כולו. מה שבעבר דרש צוותים מרובים ועבודה של חודשים, התקצר לימים. הממצאים מצביעים על כך שהנוזקה הגיעה לשלב פונקציונלי בתוך פחות משבוע".

"הנוזקה פותחה תחת הנחייתו של אדם אחד, כנראה", נכתב במחקר. "עד כה, ראיות מוצקות לנוזקות שנכתבו על ידי AI נקשרו בעיקר לשחקני איום חסרי ניסיון, כמו במקרה של FunkSec, או לנוזקות שמשקפות ברובן את הפונקציונליות של כלי תוכנה זדוניים קיימים, בקוד פתוח. VoidLink היא המקרה הראשון המבוסס על ראיות שמראה עד כמה הבינה המלאכותית עלולה להפוך למסוכנת בידי שחקני איום מנוסים יותר".

לפי החוקרים, כשלים באבטחה תפעולית (OPSEC) של מפתח VoidLink הביאו לחשיפה של תיקייה פתוחה המכילה ארטיפקטים של פיתוח. "חומרים אלו מספקים ראיות ברורות לכך שהנוזקה יוּצרה בעיקר באמצעות פיתוח מונע-AI, והגיעה להשתלה הפונקציונלית הראשונה בתוך פחות משבוע".

"במהלך החקירה הראשונית שלנו, האמנו ש-VoidLink פותחה על ידי ארגון בעל משאבים רבים, שיכול להיות מסחרי או אפילו ממוקד בפעולות ריגול. זה לא היה המצב. בינה מלאכותית יכולה לאפשר לשחקן יחיד לתכנן, לבנות ולשפר מערכות מורכבות בקצב שבעבר דרש צוותים מתואמים, מה שמוביל לנורמליזציה של התקפות במורכבות גבוהה".

לדבריהם, "מבחינה מתודולוגית, השחקן השתמש במודל מעבר לתכנות. תחילה הוא הטיל עליו ליצור תוכנית פיתוח מובנית ורב-צוותית עם לוחות זמנים לספרינט, מפרטים ותוצרים לפרויקט בקנה מידה מלא. התיעוד הזה הוסב לאחר מכן לתוכנית הביצוע, שהמודל ככל הנראה פעל לפי מה שגרם ליישום, איטרציה ובדיקת הנוזקה מקצה לקצה".

מדוע VoidLink משנה את קו הבסיס?

החוקרים הוסיפו כי "הפיתוח של VoidLink החל בסוף נובמבר 2025, כאשר המפתחת שלה פנתה ל-TRAE SOLO, עוזר בינה מלאכותית. TRAE מפיק אוטומטית קבצי עזר ששומרים חלקים מרכזיים מההנחיות המקוריות שסופקו למודל. הקבצים שנוצרו על ידי TRAE נראים כאילו הועתקו יחד עם קוד המקור לשרת של שחקן האיום, ולאחר מכן הופיעו בעקבות תיקייה פתוחה חשופה. דליפה זו נתנה לנו נראות ישירה יוצאת דופן להנחיות הראשונות של הפרויקט. במקרה זה, TRAE יצרה מסמך הוראה בשפה הסינית. כך קיבלנו חלון נדיר לתכנון המוקדם של VoidLink ולדרישות הבסיס שהניעו את הפרויקט".

"במהלך ההתקדמות המהירה של טכנולוגיות הבינה המלאכותית", סיכמו חוקרי צ'ק פוינט, "קהילת האבטחה ציפתה זמן רב שבינה מלאכותית תהיה מכפיל כוח לגורמים זדוניים. עד כה, עם זאת, הראיות הברורות ביותר לפעילות מוּנעת AI הופיעו בעיקר בפעולות פחות מתוחכמות, שלעיתים קשורות לשחקני איום פחות מנוסים, ולא העלו משמעותית את הסיכון מעבר להתקפות רגילות. VoidLink משנה את קו הבסיס: רמת המורכבות שלה מראה שכאשר הבינה המלאכותית נמצאת בידיים של מפתחים מוכשרים, היא עלולה ויכולה להגביר באופן משמעותי גם את המהירות וגם את ההיקף שבו מיוצרות יכולות התקפיות רציניות. למרות שזו לא מתקפה מתוזמרת לחלוטין על ידי בינה מלאכותית, VoidLink מראה כי התקופה המיוחלת של נוזקות מתוחכמות שנכתבו על ידי AI – החלה. שחקני איומים מנוסים בודדים, או מפתחי נוזקות, יכולים להסתייע בבינה המלאכותית כדי לבנות מסגרות נוזקות מתקדמות, סמויות ויציבות, שדומות לאלו שנוצרו על ידי קבוצות איום מתוחכמות ומנוסות".

החוקרים סיימו בשאלה מטרידה: "החקירה שלנו לגבי VoidLink משאירה שאלות רבות פתוחות, אחת מהן מטרידה מאוד. גילינו את סיפור הפיתוח האמיתי שלה (הנוזקה – י"ה) רק כי קיבלנו הצצה נדירה לסביבת המפתחים. זו נראות שאנחנו כמעט אף פעם לא זוכים לה. וזה מעלה את השאלה: כמה מסגרות נוזקות מתוחכמות נוספות נבנו באותה צורה, אך לא השאירו שום ארטיפקט שיגלה אותן?".